CISecurity EC2亚马逊
CISecurity EC2亚马逊
提问于 2016-11-18 22:59:43
我们正在转移到亚马逊,我们的基础设施,我试图遵循这个文档,以提高我们的ec2实例的安全性:用于Amazon的CISecurity基准测试
在文档中,它被要求为以下6个不同的分区创建:- /tmp - /var - /var/tmp - /var/log -/var/log/ /home
我的意思是,创建这些独立的分区确实增加了安全性吗?因为对我来说,从成本上看,似乎通过为这些分区添加6个不同的EBS卷来显著增加每个实例的成本.
谢谢你的知识分享。
回答 2
Security用户
发布于 2016-12-24 23:40:26
这是一个非常低风险的威胁,你可以忽略它在大多数情况下。
尽管如此,文档解释了确保您指定的每个挂载点都存在单独分区的理由。由于它们是世界可写的,所以如果不将挂载点绑定到单独的分区,就会面临资源耗尽的风险。此外,分隔分区允许您在不应该包含可执行文件的挂载上设置noexec标志。最后,它使在云上调整大小变得更容易。
最后,您不需要6个单独的EBS卷;可以使用ramdisk挂载/tmp;对于同一个物理卷可以有多个分区。
Security用户
发布于 2017-09-08 03:29:41
正如绝地武士所说,这是一个低风险的威胁.您不像单独的分区那样需要单独的卷,但是需要适当的挂载点选项(同样像绝地说的那样),例如noexec或ro。我见过根分区中的inodes由于生成大量文件而耗尽,这使服务器崩溃,因为再也不能将其写入磁盘。
除非你认为/tmp是短暂的(你应该),即。您不需要/tmp中的任何数据来持久化实例重新引导,您不应该将它作为一个ramdisk挂载。
而且总有LVM。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/142999
复制相关文章
相似问题
腾讯云开发者
